9 janvier 2023
Les points de vue des participants du secteur ont été recueillis dans le cadre du projet Managing AI Risk Thought Leadership de l'Institut Vecteur à l'automne 2022.
La première proposition de loi canadienne relative à l'utilisation commerciale de l'IA, la Loi sur l'intelligence artificielle et les données (LADD), a été déposée en juin 2022. Dans le cadre du projet de loi C-27, la loi sur l'intelligence artificielle et les données a été intégrée à deux lois sur la protection de la vie privée : la Loi sur la protection des renseignements personnels des consommateurs (LPRP) et la Loi sur le Tribunal de la protection des renseignements personnels et des données (LPRPDD).
L'AIDA fait suite à d'autres propositions récentes de réglementation de l'IA, notamment la loi de l'Union européenne sur l'intelligence artificielle (Artificial Intelligence Act). Loi sur l'intelligence artificielle (2021) de l'Union européenne et l'Algorithmic Accountability Act Algorithmic Accountability Act (2022) des États-Unis. Cependant, alors que ces deux lois sont exhaustives, celle du Canada adopte une approche plus schématique, renvoyant à d'autres réglementations qui doivent encore être élaborées.
L'objectif de l'ACRA est manifestement d'établir une chaîne de responsabilité pour les systèmes d'IA, en particulier les systèmes "à fort impact", ou ceux qui peuvent potentiellement causer des dommages considérables aux consommateurs. Les personnes et les organisations jugées responsables des systèmes d'IA seront tenues d'anonymiser les données, d'évaluer et d'atténuer les risques, de publier des informations sur les systèmes à fort impact, et seront soumises à des sanctions si elles ne respectent pas ces exigences.
Lorsque l'ACRA a été publiée, elle a suscité une réaction mitigée de la part de la communauté de l'IA au Canada. Une partie des inquiétudes vient du fait que le projet de loi prévoit des amendes en cas de non-respect, mais ne précise pas clairement ce que signifie ou exige le respect de la loi, renvoyant à des réglementations ultérieures qui doivent encore être élaborées.
Afin d'explorer l'approche de l'ACRA et d'analyser ces préoccupations, Vector a fait du projet de loi C-27 un thème de son programme d'automne 2022. Gestion des risques liés à l'IA de l'automne 2022. Ce projet a rassemblé des contributeurs à l'écosystème de l'IA au Canada issus de plusieurs secteurs, notamment des représentants d'organismes de réglementation, de gouvernements et d'entreprises, grandes et petites. Au cours des discussions sur l'ACRA, les participants ont exprimé leurs appréhensions et leurs points de vue sur les possibilités offertes par le projet de loi, partageant un éventail productif d'idées sur la façon de détailler et d'améliorer ce projet de loi de manière à ce qu'il profite à tous les Canadiens.
De nombreux participants au projet Managing AI Risk de Vector ont estimé que l'ambiguïté de l'ACRA et les sanctions proposées présentaient des risques considérables pour toute personne impliquée dans le développement, la distribution ou l'utilisation de systèmes d'IA, ce qui pourrait freiner l'innovation dans le domaine de l'IA au Canada. Dans le projet de loi, l'IA est présentée comme un risque sans que l'on reconnaisse en contrepartie les possibilités qu'elle offre. Le fait de savoir qu'il y aura des sanctions, mais de ne pas savoir exactement quelles seront les règles, a été généralement compris comme rendant difficile l'investissement de ressources supplémentaires dans l'IA. Le Canada pourrait être perçu comme une déclaration selon laquelle l'IA est devenue trop risquée pour être poursuivie.
Parmi les principales préoccupations exprimées par Vector au sujet de la formulation du projet de loi, on note que la définition d'un "système d'IA" - l'élément même que l'ACRA vise à réglementer - n'est pas claire. De même, le projet de loi ne prévoit pas de critères précisant la nature des systèmes d'IA "à fort impact" qui présentent les plus grands risques de préjudice.
La définition par l'ACRA de la "personne responsable" des systèmes d'IA - organisations et individus obligés de suivre les réglementations et soumis à des sanctions - a également sonné l'alarme pour les participants. En effet, la définition large de "personne responsable" semble inclure toutes les entreprises et tous les individus qui participent de quelque manière que ce soit à la collecte de données, au codage, à l'ingénierie, à la formation, à la distribution et à l'utilisation de systèmes d'IA. En créant un vaste réseau de personnes potentiellement responsables, le projet de loi ne permet pas de déterminer clairement où les responsabilités d'une personne s'arrêtent et où celles d'une autre commencent. Les participants ont également noté que l'ACRA ne précise pas les conditions dans lesquelles les personnes travaillant dans des organisations (par opposition aux organisations elles-mêmes) peuvent être tenues responsables des préjudices liés à l'utilisation des systèmes d'IA.
Parmi les autres exigences clés qui, selon les participants, doivent être clarifiées, figurent l'évaluation du risque, ou la probabilité qu'un système cause un préjudice important, l'instauration de l'équité (c'est-à-dire l'absence de résultats biaisés), l'établissement de normes pratiques pour l'anonymisation des données et la spécification de la limite juridictionnelle de l'ACRA à l'activité commerciale internationale et interprovinciale.
Au-delà du manque de clarté de l'ACRA, les participants au projet de gestion des risques liés à l'IA de Vector ont exprimé leur malaise ou leur manque de compréhension quant à la manière dont les réglementations fédérales en matière d'IA seront appliquées. Par exemple, le projet de loi propose de confier à une seule autorité fédérale le pouvoir de déterminer la non-conformité aux règlements et d'imposer des sanctions financières. Certains participants ont estimé que la séparation de ces deux fonctions en deux organes pourrait conduire à un environnement réglementaire plus responsable.
Enfin, bien que l'ACRA propose d'échelonner les sanctions en fonction de la taille de l'organisation, certains participants craignent que le risque de sanctions rende beaucoup plus difficile pour les jeunes entreprises et les petites sociétés d'attirer des investisseurs, tout en créant de nouveaux avantages pour les grandes entreprises technologiques internationales qui peuvent se permettre de payer les amendes canadiennes ou de les contester par des procès. Les nouvelles entreprises peuvent choisir de se constituer en société dans une autre juridiction, où les règles sont plus claires, plutôt que de prendre le risque d'opérer sans savoir ce que les futures réglementations imposeront. Les participants ont également eu l'impression que le fardeau des mécanismes de déclaration imposés par la loi pesait plus lourdement sur les petites organisations que sur les grandes entreprises internationales qui sont équipées pour faire face à de telles exigences.
Certains participants ont discuté de la possibilité de demander au gouvernement de séparer l'ACRA du projet de loi C-27. Cela permettrait à la CPPA et à la PIDPTA - deux mises à jour importantes de la législation canadienne en matière de protection de la vie privée - d'être adoptées pendant que l'ACRA est révisée avec le même niveau de soin que le reste du projet de loi.
"L'IA transformatrice nécessite de nouvelles façons d'envisager la réglementation gouvernementale."
Professeur Gillian Hadfield
Membre de la faculté Vector, Professeur, Directeur de l'Institut Schwartz Reisman pour la technologie et la société
Que l'ACRA fasse ou non partie du projet de loi C-27, les parties prenantes de l'écosystème de l'IA au Canada ont démontré qu'elles avaient beaucoup à apporter aux discussions sur les prochaines étapes. Les participants ont constaté que les experts et les praticiens canadiens de l'IA étaient généralement intéressés à fournir au gouvernement fédéral des commentaires sur l'ACRA et des idées précises sur la réglementation de l'IA qui servira les meilleurs intérêts du Canada.
L'une de ces recommandations, émanant d'un sponsor de l'industrie vectorielle, est d'aligner la définition des systèmes d'IA de l'ACRA sur celles adoptées par l'Organisation de coopération et de développement économiques (OCDE) et la loi sur l'IA de l'Union européenne. Il est également recommandé de suivre l'approche de la loi sur l'IA de l'Union européenne, qui distingue les responsabilités des différentes parties prenantes et précise les critères applicables aux systèmes à haut risque. Cette harmonisation des définitions apporterait à l'écosystème canadien de l'IA une clarté et une compatibilité juridiques considérables, tout en ouvrant la voie à une collaboration et à des échanges accrus avec les partenaires de l'UE.
Certains participants ont également recommandé d'adapter la réglementation pour les start-ups et autres petites et moyennes entreprises afin de leur permettre d'atteindre plus facilement les objectifs de l'ACRA, tandis que d'autres ont préconisé une évaluation minutieuse de la manière dont le projet de loi s'inscrit dans l'environnement réglementaire canadien et international plus large.
Du point de vue des participants au projet, il est essentiel d'aborder ces questions et d'autres questions connexes dans l'actuel projet d'ACRA pour élaborer une réglementation efficace et pratique en matière d'IA. Les participants ont vu une occasion pour l'écosystème canadien de l'IA de s'impliquer, de créer des normes et d'engager des discussions importantes au sein des industries et entre elles.
Rejoignez notre liste de diffusion pour participer au prochain projet Vector Thought Leadership et découvrir les avantages de participer à des conversations comme celle-ci en tant que sponsor de l'industrie.
